Risikoanalyse durchgeführt – und jetzt? So starten Sie erfolgreich die Umsetzung von OT-Security

Jedes OT-Security-Konzept basiert darauf, Risken für die Verfügbarkeit von IT-Systemen in der Produktion zu identifizieren und zu bewerten. Wirksame Security-Maßnahmen müssen kontinuierlich an bestehende und künftige Anforderungen angepasst werden. Eine Risikoanalyse in der OT ist daher keine Einmal-Aktion. Die Folge einer Risikoanalyse sollte eine echte Verbesserung Ihres Security-Niveaus sein. Dafür brauchen Sie einen Prozess, der die zielgerichtete Umsetzung von OT-Security-Maßnahmen unterstützt. Schaffen Sie die notwendigen Grundlagen dafür.

Risikoanalyse: Basis der OT-Security

Ein stabiler Betrieb Ihrer Produktionsanlagen ist die Voraussetzung, um Ihre Unternehmensziele zu erreichen. Neue Technologien in der Automation erhöhen den Vernetzungsgrad und führen zu einer massiven Zunahme von Schnittstellen. Gefährdungen für die IT-Infrastrukturen in Ihrer Produktion können viele verschiedene Ursachen und Ausprägungen haben. Die Angriffsvektoren nehmen zu und die Methoden von Cyberkriminellen entwickeln sich ständig weiter. Darüber hinaus können sich auch im Unternehmen Rahmenbedingungen, Use Cases, die Personalsituation, z.B. im Hinblick auf externe Dienstleister etc. ändern, so dass die Risikobetrachtung entsprechend angepasst werden muss.

Eine Risikoanalyse ermittelt bestehende und potenzielle Risiken mit ihrer Eintrittswahrscheinlichkeit und bewertet die Auswirkungen, die sich daraus für die Verfügbarkeit Ihrer IT-Systeme und Prozesse ergeben. Sie ist der Startschuss für eine Anpassung Ihres Security-Niveaus an die aktuelle Situation Ihres OT-Betriebs.

Was bringt eine Risikoanalyse in der OT?

Security-Projekte sind in der Regel komplex und dementsprechend ressourcenintensiv. Aufwand und Nutzen sollten in einem guten Verhältnis stehen. Für eine erfolgreiche Umsetzung der Security-Strategie ist es wichtig, dort anzugreifen, wo der Handlungsdruck am größten ist.

Die Risikoanalyse bringt Klarheit über

• kritische Assets und Prozesse, die einen entsprechend hohen Schutzbedarf haben
• sicherheitsrelevante Ereignisse, ihre jeweilige Eintrittswahrscheinlichkeit und die Auswirkungen auf die Verfügbarkeit Ihrer Anlagen

Risikoanalyse: Anforderungen der Regulierung

Die Funktionsfähigkeit vernetzter Supply Chains hat eine wichtige Bedeutung für die Versorgungssicherheit der Gesellschaft. Die Resilienz Kritischer Infrastrukturen wird durch gesetzliche Mindestanforderungen für Security erhöht. Von der Regulierung sind immer mehr Branchen betroffen, dabei sind nicht mehr nur die Betreiber, sondern auch Hersteller im Fokus.

Auch Unternehmen der Lebensmittelindustrie müssen regelmäßig einen Nachweis erbringen, dass sie die gesetzlichen Vorgaben erfüllen. Eine risikobasierte Absicherung kritischer Systeme und Prozesse ist ein gemeinsamer Nenner in den verschiedenen Regularien.

Halten wir fest: Grundsätzlich bedeutet die regelmäßige Durchführung einer Risikoanalyse, Compliance-Anforderungen zu erfüllen. Dies ist jedoch kein Selbstzweck. Die Resilienz Ihrer Produktionsinfrastrukturen erhöht sich erst durch die Umsetzung geeigneter Security-Maßnahmen.

Best Practices für die Risikoanalyse

Die Durchführung einer Risikoanalyse ist kein Haken auf einer Checkliste, sondern der Ausgangspunkt für echte Verbesserungen Ihrer OT-Security.

Eine smarte Vorgehensweise bei der Durchführung führt dazu, dass Sie mit den Ergebnissen konkret arbeiten können. Angesichts der herausfordernden Ausgangslage Ihrer Produktionsinfrastrukturen ist das umso wichtiger.

Mit bestehenden Herausforderungen umgehen

In den meisten Unternehmen sieht die Situation in der OT heute so aus:

• Es gibt sehr große heterogene Infrastruktur-Landschaften
• Dafür fehlt die nötige Transparenz: relevante aktuelle Daten zu Assets und ihren Zuständen sind nicht verfügbar, weil kein OT-Asset-Management vorhanden ist
• die Betriebsverantwortung ist unklar, Assets sind nicht bekannt
• Es fehlt ein umfassendes Verständnis für den Produktionsprozess
• Personalressourcen und Mittel sind knapp

Es gibt bewährte Hilfestellungen, um die komplexe Ausgangssituation zu meistern:

BSI-Standard 200-3

Für die Umsetzung liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Orientierung.

Der BSI-Standard 200-3 ist ein praxisnaher Leitfaden für ein anerkanntes Vorgehen zur Durchführung einer Risikoanalyse. Die Basis ist der BSI IT-Grundschutz. Risiken können damit beurteilt und entsprechend behandelt werden. Die Risikoanalyse wird als umfassender Prozess betrachtet aus

• Risk Identification
• Risk Analysis
• Risk Evaluation

IEC 62443

Die IEC 62443 ist die wichtigste Norm für die Absicherung von IT-Infrastrukturen im Automationsumfeld. Sie verfolgt einen risikobasierten Ansatz für ganzheitlich umgesetzte Security-Maßnahmen im Rahmen eines mehrstufigen Konzepts (Defense-in-Depth)

Im Abschnitt System behandelt das Dokument 3-2 “Security Risk Assessment for System Design”.

Weitere Normen und Standards, die sich mit der Risikoanalyse befassen:

• Die neue Maschinenverordnung wird in 2027 die bestehende Maschinenrichtlinie ablösen. Sie behandelt die Risikoanalyse sowohl für Safety- als auch für Security-Aspkete.
• Die Norm EN ISO 12100 beinhaltet Leitsätze für die Risikobeurteilung und Risikominimierung bei der Maschinenkonstruktion im Kontext der Safety.
• Auch die Norm EN ISO 27001 betrachtet das Risikomanagement für informationstechnische Systeme, geht aber nicht speziell auf OT-Anforderungen ein.

Steht einmal fest, auf welcher normativen oder gesetzlichen Grundlage die Risikoanalyse durchgeführt werden soll, geht es um eine Gegenüberstellung von Ist-Zustand und Soll-Zustand. Aus der GAP-Analyse ergeben sich die entsprechenden Aufgaben.

Grundlegende Expertise erforderlich

Wer mit der Durchführung einer Risikoanalyse für die OT betraut ist, muss über eine grundlegende Expertise verfügen. Es ist wichtig, den Produktionsprozess zu verstehen und Gefährdungen für IT-Infrastrukturen erkennen zu können. Risiken müssen bereichsübergreifend für das gesamte Unternehmen bewertet werden. Neben den technischen Zusammenhängen sind daher auch die Wechselwirkungen und Abhängigkeiten im Businesskontext relevant. Dafür ist ein Team erforderlich, dessen Mitglieder über das nötige Fachwissen für die einzelnen involvierten Bereiche verfügen. Ist dieses Wissen nicht oder nicht ausreichend vorhanden, muss es verfügbar gemacht werden.

Risikoanalyse als Teil des Risikomanagements

Eine Risikoanalyse steht nicht isoliert für sich, sondern ist in das Risikomanagement Ihres Unternehmens eingebettet. Dabei geht es um Steuerung: Durch etablierte Prozesse lenken Sie die Umsetzung von Security-Maßnahmen, um die Resilienz der IT-Infrastrukturen in Ihrer Produktion zu erhöhen. Die Ergebnisse der Risikoanalyse sollten stringent zur Umsetzung wirksamer Maßnahmen führen.

Best Practices beim Risikomanagement

Ein ausreichend hohes Security-Niveau muss nicht nur aufgebaut, sondern auch aufrechterhalten werden. Risiken müssen kontinuierlich identifiziert, analysiert und bewertet und durch entsprechende Security-Maßnahmen abgesichert werden. Dabei geht es um eine Aufgabe, die Sie permanent begleiten wird. Deswegen sollten Sie einen Plan für eine nachhaltige Vorgehensweise entwickeln, die zu Ihrem Unternehmen passt. Behalten Sie dabei im Blick, was unter Berücksichtigung Ihrer Ressourcen machbar ist und letztlich zum Ziel führt.

Prozess für Risikomanagement aufsetzen

Bevor Sie einfach eine Risikoanalyse durchführen: Überlegen Sie, wie ein sinnvoller Prozess für das Risikomanagement in Ihrem Unternehmen aussehen kann. Wie Sie jeweils eine Risikoanalyse durchführen, sollte zu diesem Prozess passen.

Realistische Ziele, iterative Entwicklung

Viele der Herausforderungen, die oben beschrieben sind, lassen sich nicht von heute auf morgen in einen Zustand überführen, der für die Durchführung einer Risikoanalyse ideal wäre. Schaffen Sie sich zunächst eine Basis, auf der Sie im weiteren Verlauf immer besser vorankommen. Security ist ein fortlaufender Prozess und aus Risikoanalysen erhält man den größten Nutzen durch eine iterative Vorgehensweise. Dabei entwickelt sich das Verständnis über Anforderungen, Abhängigkeiten und praktikable zielführenden Vorgehensweisen kontinuierlich. Sie profitieren jeweils von dem, was Sie vorher schon erreicht haben.

Setzen Sie sich also realistische Ziele, für die Sie die Beteiligten aus den unterschiedlichen Bereichen auch motivieren können.

Blackbox: Referenzarchitektur nutzen

Für den Start können Beispielanlagen mit Referenzarchitekturen gute Dienste leisten. Dabei gehen Sie von einem Standardaufbau einer Produktionsinfrastruktur aus und identifizieren dafür Basis-Maßnahmen. Wählen Sie die Szenarien realistisch aus. Es geht zunächst um eine ausreichende Basis-Absicherung, die meistens mit den grundlegenden Security-Maßnahmen deutlich unterstützt wird. Von dort aus können Sie tiefer in Ihre individuelle Situation eintauchen.

Externe Unterstützung / Expertise

Oft fehlen interne Ressourcen, um die Aufwände für eine umfassende OT-Risikoanalyse zu leisten oder Know-how ist nicht in ausreichendem Maß vorhanden. In solchen Fällen lohnt es sich, externe Dienstleister ins Boot zu holen. Meistens ist der Blick von außen hilfreich, um die spezifischen Sachverhalte zu konkretisieren. Durch ein Mandat für externe Consultants werden Ergebnisse oft schneller erreicht. Die Expertise für die Konzeption und die Umsetzung von Maßnahmen haben Sie damit auch bereits im Haus, so dass Sie Aufwände und Vorgehen für weitere Schritte besser planen können.

Wichtige Grundlage: Organisation befähigen

Für ein effizientes Risikomanagement muss Ihre Organisation entsprechend befähigt sein, dafür sollten Sie entsprechende Grundlagen legen.

OT-Organisation: Verantwortung, Prozesse & Standards

Eine wichtige Voraussetzung, um OT-Belange bedarfsgerecht im Unternehmen zu managen, ist eine OT-Organisation. Darin übernimmt der OT-Fachbereich die Verantwortung für den OT-Betrieb und erbringt IT-nahe Services für die Werke nach definierten Standards. Die OT-Organisation ist zentraler Ansprechpartner mit einer umfassenden Expertise für die Anforderungen in der Produktion. Über eine Schnittstelle zur OT-Security sind alle relevanten Informationen verfügbar. Für den Kontext der Risikoanalyse und der anschließenden Umsetzung geeigneter Security-Maßnahmen kann die OT-Organisation die Einsichten in OT-Belange vertiefen und wichtige Impulse geben.

OT-Security-Programm: Zentrale Steuerung aller Projekte

Wenn Sie in Ihrem Unternehmen Programm-Strukturen etablieren, können Sie einzelne OT-Security-Projekte unter ein gemeinsames Dach nehmen und im Sinne Ihrer übergeordneten Zielsetzung steuern. Entsprechend den Abhängigkeiten einzelner Themen und möglicher Synergien wird die Reihenfolge der Projektdurchführung entsprechend priorisiert. Das steigert die Effizienz und bietet ein Höchstmaß an Transparenz für Ihre Geschäftsführung.

Umsetzung forcieren durch klare Verantwortung

Damit im Anschluss an eine Risikoanalyse die Umsetzung geeigneter OT-Security-Maßnahmen in Gang kommt, muss die Verantwortung dafür entsprechend delegiert werden. Es muss jemand konkret dafür zuständig sein, die Ergebnisse aus der Risikoanalyse umzusetzen und passende OT-Security-Maßnahmen zu implementieren. Dazu gehört unbedingt die Erstellung eines entsprechenden Maßnahmenplans. Über ein Audit können Maßnahmen gegebenenfalls kontrolliert werden.

Fazit

Die Durchführung von Risikoanalysen ist grundlegend, um kritische Assets und Prozesse in Ihrer Produktion zu identifizieren und Schutzmaßnahmen darauf auszurichten. Es geht dabei aber um mehr als um die Erfüllung von Compliance-Anforderungen. Risikoanalysen sind Teil des Risikomanagements mit dem Ziel, die Resilienz kontinuierlich an aktuelle und künftige Risiken anzupassen. Eine echte Erhöhung des Security-Niveaus wird nur erreicht, wenn als Konsequenz einer Risikoanalyse bedarfsgerechte Security-Maßnahmen auch umgesetzt werden. Mit einer entsprechend vorbereiteten Organisation legen Sie dafür gute Grundlagen.